Фальшивая реклама KeePass использует Punycode и домен, почти неотличимый от настоящего
Исследователи Malwarebytes обнаружили вредоносную рекламную кампанию в Google Ads, продвигающую фейковый сайт менеджера паролей KeePass. Мошенники использовали Punycode, чтобы замаскировать свой домен под настоящий, и распространяли таким способом малварь.
Punycode представляет собой стандартизированный метод преобразования последовательностей Unicode-символов в ACE-последовательности, которые состоят только из алфавитно-цифровых символов, как это разрешено в доменных именах. Punycode был разработан для однозначного преобразования доменных имен в последовательность ASCII-символов.
Злоумышленники давно поняли, что можно злоупотреблять Punycode для регистрации доменных имен, которые выглядят похожими на легитимные, но содержат какой-либо Unicode-символ, который выглядит немного иначе.
Атаки такого типа часто называют омографическим. К примеру, в обнаруженном Malwarebytes случае злоумышленники использовали Punycode для создания адреса xn—eepass-vbb[.]info, который преобразуется в ķeepass.info, имитируя настоящий домен проекта (keepass info), но с использованием символа «ķ».
![Disguised face :disguised_face: 🥸](https://cdn.jsdelivr.net/joypixels/assets/7.0/png/unicode/64/1f978.png)
![Link :link: 🔗](https://cdn.jsdelivr.net/joypixels/assets/7.0/png/unicode/64/1f517.png)
![Link :link: 🔗](https://cdn.jsdelivr.net/joypixels/assets/7.0/png/unicode/64/1f517.png)
![Magnifying glass tilted left :mag: 🔍](https://cdn.jsdelivr.net/joypixels/assets/7.0/png/unicode/64/1f50d.png)
![VJQuU4IfrPHzZ_sirkFWSnRp6MnrjOndn_kFihthMANqUPI9c35lffKGoprde4mUQmdaacf1mOcT17M1kQOsJZ-WYK679ahePr6oNDFrozl2pvUP9acTd1Vfni2BNH6-Z0P59-HDkYNkuYJ31NDCAMYDlJxCZSRELJdBM2EPiys7GtfGU_yBeI-AnLPETnElfxVhvq2XaCQLkGm9tKwmD9JNSeCUz9w1seTty6HOsF3t657tNShQfwXKyPAW7f_B2GKhZdzcrb8SgkTZoL_OOY_G_JoDewuXZJGpkFQfNh0tvd4EGwTF-5tsuXrHVXs2b42kc8vmeM0OJieO_xfhEQ.jpg](https://cdn4.cdn-telegram.org/file/VJQuU4IfrPHzZ_sirkFWSnRp6MnrjOndn_kFihthMANqUPI9c35lffKGoprde4mUQmdaacf1mOcT17M1kQOsJZ-WYK679ahePr6oNDFrozl2pvUP9acTd1Vfni2BNH6-Z0P59-HDkYNkuYJ31NDCAMYDlJxCZSRELJdBM2EPiys7GtfGU_yBeI-AnLPETnElfxVhvq2XaCQLkGm9tKwmD9JNSeCUz9w1seTty6HOsF3t657tNShQfwXKyPAW7f_B2GKhZdzcrb8SgkTZoL_OOY_G_JoDewuXZJGpkFQfNh0tvd4EGwTF-5tsuXrHVXs2b42kc8vmeM0OJieO_xfhEQ.jpg)